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Beschreibung 



Nutzer-Objekte zur Authentif izierung der Nutzung elektroni- 
scher Daten 

5 

Die Erfindung betrifft eine elektronische Datenverarbeitungs- 
einrichtung zum Bearbeiten, Speichern und Auslesen von elekt- 
ronischen Daten durch unterschiedliche Anwender, denen unter- 
schiedliche Daten-Zugrif f srechte erteilt warden und deren Da- 
10 ten-Zugriffe dok\imentiert werden. Die Erfindung betrifft au- 
JJerdem ein Verfahren zum Betrieb einer Datenverarbeitungsein- 
richtung sowie ein Speichermedium mit Inf oriuationen zur Aus- 
fiihrung eines solchen Verfahrens auf einer Datenverarbei- 
tungseinrichtung . 

15 

Text- und Bilddaten, insbesondere medizinisch relevante Daten 
wie Befunde, diagnostische Bilder oder Patientendaten, werden 
vermehrt elektronisch abgelegt und gehandhabt. Die elektroni- 
sche Handhabung erfordert besondere MaBnahmen, um Daten- 

20 zugriffe und Datenveranderungen nachvollziehbar zu machen. 

Insbesondere im Gesundheitswesen sind viele elektronische Da- 
ten als vertraulich einzustufen und Datenschutzbestiimungen 
fordern, dass jeder Nutzer elektronischer Daten eindeutig i- 
dentifiziert und authentif iziert wird, Jeder Datenzugriff 
bzw. jede Nutzung der Daten muss eindeutig unter Angabe des 
Nutzers dokumentiert werden ( ^auditing""" ) und der Zugriff auf 
Daten von Patienten darf nur authentif izierten Nutzern ge- 
wahrt werden („access control"^). Damit reprasentiert die I- 
dentif ikation die eindeutige, individuelle Kennung des Nut- 

30 zers, wahrend mit Authentif izierung die Zulassung bestimmter 
Datenzugriff srechte flir den Nutzer gemeint ist. Die Authenti- 
fizierung bedeutet also eine Autorisierung des Nutzers fur 
bestimmte Datenzugriff srechte . Die Authentif izierung setzt 
grundsatzlich eine Identif izierung voraus . 

35 

Daraus ergeben sich die folgenden Forderungen. Fiir die ein- 
deutige Dokumentation ist es notwendig, dass jeder Nutzer in- 
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dividuell identif iziert werden kann, Ftir den Schutz der Daten 
vor nicht-autorisiertem Zugriff sind Mechanismen in unter- 
schiedlich tiefen Sof tware-Ebenen denkbar, wobei die Umgeh- 
barkeit dieser Mechanismen von der jeweiligen Tiefe der Soft- 
5 ware-Ebene abhangt. Mechanismen, die in tieferen Software- 
Ebenen ablaufen, das bedeutet im Extremfall auf Betriebs- 
System-Ebene, lassen weniger Umgehungsmoglichkeiten zu und 
gewahrleisten daher einen sichereren Zugriff schutz . Daher 
werden Zugriff srechte bei der Handhabung sicherheitskriti- 
10 scher oder medizinisch relevanter Daten, insbesondere perso- 
nenbezogener Daten und Patientendaten, soweit wie moglich auf 
Ebene des Betriebs-Systems realisiert* Dies erfordert, dass 
ein Nutzer, der umfassende Zugriff srechte genieiien soli, als 
Betriebs-System-Nut zer an einem System angemeldet sein muss, 
15 welches Zugriff auf die Daten gewahren kann. Ein Nutzer, der 
weniger umfassende Zugriff srechte geniefien soil, muss dagegen 
lediglich als Anwendungs -Nutzer bei der Anwendungs-Sof tware 
angemeldet sein. 

20 Ein mdgliches System zur Handhabung elektronischer Daten 

konnte ein medizinischer Arbeitsplatz sein, zum Beispiel eine 
sogenannte Modalitat, an der Befund- und Bilddaten erfasst 
und bearbeitet werden konnen. An einem solchen Arbeitsplatz 
arbeiten typischerweise mehrere Personen in enger zeitlicher 
^gp^j5 Abfolge, die jeweils zwischen Betreuung des Patienten und Be- 
dienung des Gerats in schnellem Takt hin- und herwechseln. An 
ein und demselben Arbeitsplatz arbeiten also mehrere Nutzer 
in schnellem Wechsel und betreuen mehrere Patienten. Es ist 
of f ensichtlich, dass das Wechseln zwischen verschiedenen Nut- 
30 zern und verschiedenen Patienten unter Gesichtspunkten der 
Rationalisierung und Okonomie der Arbeitsablauf e moglichst 
schnell erfolgen sollte. 



35 



Andere Systeme zur Handhabung vertraulicher elektronischer 
Daten sind zum Beispiel in der Forschung, im Finanzwesen, in 
der Juristerei oder in demographischen Fragen Verwendung fin- 
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den. Grundsatzlich sind personenbezogene und geheimhaltungs- 
bediirftige Daten gleichermafien als vertraulich anzusehen. 

Da die fraglichen Daten im allgemeinen als in besonderem Malie 
5 schutzbediirf tig angesehen werden, wird eine moglichst sichere 
Authentif izierung der Nutzer gefordert. Nach dem oben gesag- 
ten sollte die Authentif izierung also auf Betriebs-Systeiti- 
Ebene realisiert sein. Das hat zur Folge^ dass ein Wechsel 
zwischen verschiedenen Nutzern nur durch Neuanmeldung am Be- 

10 triebs-System erfolgen kann. Die Neuanmeldung am Betriebs- 
System ist in den heute verwendeten Systemen jedoch sehr 
zeitaufwandig, da sie jedes mal einen Neustart des Betriebs- 

\^ Systems erfordert und daruber hinaus auch jedes Mal das Been- 
den und Neustarten des Anwendungs-Programms verlangt, mit dem 

15 die Daten bearbeitet werden. Durch die zeitaufwandigen Neu- 

starts wird die Realisierung einer moglichst groBen Zugriffs- 
Sicherheit an Arbeitsplatzen, die im haufigen und schnellen 
Wechsel benutzt werden sollen, zu zeitaufwandig und daher in 
der haufig mit Zeitdruck konf rontierten Praxis nicht akzepta- 

20 bel. 



Herkommliche medizinische und andere mit vertraulichen Daten 
arbeitenden Arbeitsplatze weisen daher Daten- 
Sicherheitssysteme auf, die in aller Regel die Mehrfachnut- 

^^5 zung des Arbeitsplatzes entweder von vorneherein verhindern 
* Oder die mutwillige Umgehungen des Sicherheitssystems im tag- 
lichen Gebrauch unter Zeitdruck provoziert, indem verschiede- 
ne Nutzer dazu verleitet sind, unter Verzicht auf jeweilige 
Neuanmeldung am System unter Verwendung von ein und derselben 

30 gemeinsamen System-Anmeldung zu arbeiten. Die Benutzung einer 
gemeinsamen System-Anmeldung hat auflerdem zur Folge, dass die 
Dokumentation von Nutzerdaten im Zusammenhang mit Zugriffen 
auf die sicherheitskritischen Daten erschwert wird, da das 
System verschiedene Nutzer, die mit derselben System- 

35 Anmeldung arbeiten, nicht individuell identif izieren kann. 



200210283 



4 



Die Aufgabe der Erfindung besteht darin, ein System zum Bear 
beiten, Speichern und Auslesen elektronischer Daten an- 
zugeben, das bei unverminderter Datensicherheit schnellere 
Nutzer-Wechsel ermoglicht, in dem die vollstandige Identifi- 
5 kation zu Dokumentationszwecken sowie zur korrekten Authenti 
fizierung einzelner Nutzer ermoglicht wird. 

Die Erfindung erreicht dieses Ziel durch eine Datenverarbei- 
tungseinrichtung, durch ein Verfahren zum Betrieb einer sol- 
10 chen Einrichtung sowie durch ein Speichermedium mit Informa- 
tionen zur Ausfiihrung eines solchen Verfahrens auf einer Da- 
tenverarbeitungseinrichtung mit den Merkmalen der unabhangi- 
\^ gen Patentanspruche . 



15 Die Erfindung beruht auf der Erkenntnis, dass verschiedene 

Nutzer eines mit vertraulichen elektronischen Daten arbeiten 
den Arbeitsplatzes haufig dem gleichen Authentif izierungs- 
Level angehoren, d.h. gleiche Zugrif f srechte auf die fragli- 
chen Daten haben. Im Kontext des Datenschutzes im Gesund- 

20 heitswesen sind die Nutzer in einem gemeinsamen Authentifi- 
zierungs-Level z.B. als ein behandelndes Team anzusehen, des 
sen Zugrif f srechte als Team- oder Gruppenzugriff srechte defi 
niert sind, 

Bislang muss ein Nutzer am System als einheitliches, indivi- 
' duelles Nut zer-Obj ekt angemeldet werden, das zu Dokumentati- 
ons- und Authentif izierungszwecken verwendet wird. Die Erfin 
dung entkoppelt die herkommliche Verbindung von Identifikati 
ons- und Authentif izierungs-Obj ekt . Stattdessen verwendet si 

30 ein individuelles Dokumentations-Nut zer-Obj ekt , das Informa- 
tion zur Identif ikation eines Nutzers beinhaltet, und ein da 
von getrenntes Authentif izierungs-Nutzer-Objekt, das einen 
bestimmten Authentif izierungs-Level definiert. Das Authenti- 
fizierungs-Nut zer-Obj ekt kann nicht-individuell an alle Nut- 

35 zer eines identischen Authentif izierungs-Levels vergeben wer 
den und in diesem Sinne als Gruppen-Nutzer-Objekt fiir Nutzer 
gruppen angesehen werden. 
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Durch die Verwendung der getrennten Nutzer-Obj ekte kann ein 
Wechsel zwischen Nutzern eines geme ins amen Authentif izie- 
rungs-Levels, z.B. eines behandelnden Teams, durch einen 
5 Wechsel des individuellen Dokumentations-Nutzer-Objekts voll 
zogen werden, ohne zwangslaufig auch das Betriebs-System we- 
gen eines damit verbundenen Wechsels des Authentif izierungs- 
Nutzer-Objekts neu starten zu miissen. Zum Beispiel kann der 
Wechsel zwischen Nutzer-Obj ekten, die einer gemeinsamen Nut- 
10 zer-Gruppe angehoren, auf Ebene einer medizinischen oder per 
sonenbezogenen Anwendungs-Sof tware zur Datenbearbeitung voll 
zogen warden. Erst beim Wechsel zwischen Nutzern unterschied 
licher Nutzer-Gruppen muss auch ein Wechsel des Authentifi- 
zierungs-Levels vollzogen warden, also eine Ab- und Wieder- 
15 Anmeldung auf Ebene des Betriebs-Systems . 

Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand 
der abhangigen PatentansprUche . 

20 Nachfolgend werden Ausfiihrungsbeispiele der Erfindung anhand 
von Figuren naher erlautert. Es zeigen dabei: 

FIG 1 Schematisch dargestellte Datenverarbeitungseinrich- 

tung. 



1?! 



FIG 2 Flussdiagramm, 
FIG 3 Nutzer-Ebenen. 

30 Figur 1 zeigt die Architektur einer bevorzugten Ausfuhrungs- 
form der elektronischen Datenverarbeitungseinrichtung . Zent- 
rales Element dieser Datenverarbeitungseinrichtung, die z.B. 
ein medizinischer Arbeitsplatz, eine Forschungs-Workstation 
Oder eine Finanz-Terminal sein kann, ist ein Computer 1, der 

35 liber ein Eingabegerat 9, z.B. eine Tastatur, und ein Ausgabe 
gerat 11, z.B. einen Bildschirm, verfiigt. 
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Der Computer 1 hat Zugriff auf einen Datenspeicher 3, in dem 
personenbezogene oder medizinisch relevante/ also als ver- 
traulich einzustuf ende elektronische? Daten abgelegt sind. 
Auf dem Computer 1 lauft in Ublicher Weise ein Betriebs- 
5 System, das zur Konf igurierung der Hardware und zum Betrieb 
des Computers 1 erforderlich ist. Welter lauft auf dem Compu- 
ter 1 ein Anwendungsprogramm, das zur Handhabung der vertrau- 
lichen Bild-, Text- oder Metadaten geeignet ist. Das Anwen- 
dungsprogramm kann beispielsweise der Eingabe von Patienten- 
10 daten dienen, der Eingabe von medizinischen Befunden oder Be- 
gutachtungen, der Bearbeitung diagnostischer Bilddaten oder 
der Erfassung personenbezogener Inf ormationen . Als Nutzer des 
Programms konnen medizinisches Fachpersonal oder Patienten 
ebenso wie Verwaltungspersonal, Techniker, Kauflaute, For- 
15 scher oder Finanz-Fachleute in Frage kommen. Die Computer 1 
erlaubt die Verarbeitung der elektronischen Daten, wobei mit 
Verarbeitung das Erzeugen, Speichern, Verandern, Loschen oder 
Lesen sowie jeglicher sonstige Datenzugriff gemeint sein 
soil . 

20 

Der Computer 1 hat welter Zugriff auf einen Dokumentations- 
Speicher 5, der samtliche Zugriffe auf die Daten im Daten- 
speicher 3 dokumentiert . Zu diesem Zweck werden Inf ormationen 
iiber die Art des Zugriff s, die zugegrif f enen Daten und den 
4f^5 zugreifenden Nutzer abgelegt, wobei als Zugriff auf die Daten 
nicht nur eine Veranderung sondern auch deren bloBe Betrach- 
tung aufzufassen ist. 

Der Computer 1 ist auBerdem mit einem Authentif izierungs- 
30 Speicher 7 verbunden, der entweder in direkter Verbindung o- 
der entfernt vom Computer 1 an zentraler Stelle angeordnet 
sein kann und liber eine Datenf erniibertragungs-Verbindung 8 
zugreifbar ist, Der Authentif izierungs-Speicher 7 enthalt In- 
formationen, die es erlauben, einen Nutzer des Computers 1 
35 bzw. des gesamten Datenverarbeitungs-Systems als Nutzer zu 

identif izieren, ihm ein Nutzer-Objekt zuzuordnen, als das er 
am System angemeldet werden kann, und f estzustellen, welcher 
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Nutzer-Gruppe das Nutzer-Objekt angehort . Die Nutzer-Gruppe 
enthalt dabei Inf ormationen, die den Authentif izierungs-Level 
definieren, der fur das Nutzer-Objekt gilt. Mit anderen Wor- 
ten konnen dem Nutzer-Objekt iiber die Zugehorigkeit zu einer 
Nutzer-Gruppe Zugrif f srechte zugeordnet und erteilt werden 
und damit seine Authentif izierung vorgenoitunen werden. 

Urn einen Nutzer des Systems identif izieren und ihm ein Nut- 
zer-Objekt zuordnen zu konnen, muss der Computer 1 Informati- 
onen iiber den Nutzer abfragen, die er mit den Inf ormationen 
im Authentif izierungs-Speicher 7 vergleichen kann. Da im Er- 
gebnis dieser Identif izierung Dokumentationsdaten erzeugt und 
der Authentif izierungs-Level des Nutzers festgelegt werden, 
sind die abzuf ragenden Inf ormationen selbst in besonderem Ma- 
Re vertraulich zu handhaben und zu schutzen. Die Abfrage kann 
daher in Form einer Passwort-Abf rage erfolgen. Die Verwendung 
von Passwortern hat bekanntlich den Nachteil, dass ausrei- 
chend sichere Passworter in aller Kegel lang, schwer zu mer- 
ken und umstandlich einzugeben sind. Dies erschwert die Be- 
nutzung und insbesondere den schnellen Wechsel von Nutzern am 
System. Praktikablere Alternativen zu einer Passwortabf rage 
bestehen darin, uber eine Kamera 13 biometrische Daten des 
Nutzers, z.B. die Gestalt seiner Iris, zu erfassen, Uber ei- 
nen Schlussel-Leser 15 einen Nutzer-individuellen elektroni- 
schen oder mechanischen Schliissel abzutasten oder tiber einen 
Chipkarten-Leser 17 eine Nutzer-individuelle Chipkarte abzu- 
fragen. Die vorgeschlagenen Sicherheitssysteme ermoglichen 
eine sichere und fur den Nutzer unaufwandige Identif ikation, 
wobei insbesondere die Abfrage biometrischer Daten als beson- 
ders Nutzer-komf ortabel und tauschungssicher gilt. 

Der Authentif izierungs-Speicher 7 kann in vorteilhaf ter Weise 
entfernt vom Arbeitsplatz zentral positioniert sein. Auf die- 
se Weise kann er als Daten-Server fur ein ganzes Gebaude, 
z.B. ein Krankenhaus, BUro-Gebaude oder Gebaude-ubergreif end 
eingesetzt werden. Bei zentraler Positionierung als Authenti- 
f izierungs-Server kann er nach Art eines Trust-Centers mit 
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asymmetrischen Schliisselsystemen arbeiten. Bei Verwendung ei- 
nes asymmetrischen SchlUsselsystems mit offentlichem und pri- 
vatem Schlussel eriibrigt sich auch das Erfordernis, die Da- 
tenf ernUbertragungs-Verbindung 8 verschlusselt zu betreiben. 
Selbstverstandlich sind ausreichende SchutzmaBnahmen, wie Fi- 
rewalls, zum Schutz der Daten im Datenspeicher 3 bzw. im gan- 
zen System vorzusehen. 

Die Verwendung eines zentralen Authentif izierungs-Servers er- 
hoht die Portabilitat der Daten und ermoglicht aulierdem die 
Verwendung von Expertensystemen mit Zugriff auf die Daten von 
ortlich getrennt arbeitenden Experten, da die Dokumentation 
und Authentif izierung nicht lokal eingeschrankt ware. AuBer- 
dem konnten Normen hinsichtlich der verschiedenen Authentifi- 
zierungs-Level zentral definiert und vorgegeben werden, urn 
sie im gesamten Datensystem, etwa fiir das gesamte Gesund- 
heitswesen, einheitlich einsetzen zu konnen. 

Das Betriebs-System, das auf dem Computer 1 lauft, dient in 
bekannter Weise der hardwaremaliigen Konf igurierung des Compu- 
ters* Es entscheidet daruber, welche Hardware-Komponenten 
verfugbar sind und durch welche Nutzer auf diese Komponenten 
zugegriffen werden kann. Dadurch ist es in der Lage, die Be- 
nutzung der Hardware und damit auch der in der Hardware ge- 
speicherten Daten Nutzer-abhangig freizugeben, zu sperren o- 
der zu autorisieren. Dartiber hinaus dient das Betriebs-System 
als Plattform, auf der Anwendungsprogramme laufen konnen, wo- 
bei es zwangslaufig auch die Zugriff srechte fiir die Anwen- 
dungsprogramme selbst autorisiert. Da die Anwendungsprogramme 
auf dem Betriebs-System aufgesetzt arbeiten, ist deren Been- 
den und Starten bei laufendem Betriebs-System moglich. Das 
Verandern des gultigen Authentif izierungs-Levels ist dagegen 
bei maximaler Datensicherheit nur durch Beenden und Neustar- 
ten des Betriebs-Systems moglich. 

Figur 2 zeigt als Flussdiagramm die Verf ahrens-Schritte, nach 
denen die Erfindung arbeitet. Das Flussdiagramm zeigt die Ar- 
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beitsablauf 0/ die das Betriebs-System und die Anwendungspro- 
gramme ausfuhren. In Schritt 31 meldet sich zunachst ein An- 
wender ftir die Nutzung des Systems, z,B, des medizinischen 
ArbeitsplatzeS/ an. Die Anmeldung erfolgt dabei in bekannter 
5 Weise durch Eingabe einer Benutzerkennung uber eine Tastatur 
Oder ein anderes geeignetes Eingabegerat . Die Benutzerkennung 
gleicht einem Login oder Anmel dungs -Namen und vermittelt kei- 
nerlei Datensicherheit . 



10 In Abhangigkeit von der Anmeldung eines Anwenders erfolgt in 
Schritt 33 eine Sicherheitsabf rage . Die Sicherheitsabf rage 

>^ dient der tauschungssicheren Identif izierung eines Anwenders 
^ und gleicht daher der Eingabe eines Benut zer-Passworts . Sie 
kann als Passwort-Eingabe liber eine Tastatur erfolgen, statt 

15 dessen konnen jedoch auch biometrische Oaten des Anwenders 

liber eine Kamera ermittelt oder ein mechanischer oder elekt- 
ronischer Schlussel oder eine Chipkarte liber ein mit dem Sys- 
tem verbundenes Abfragegerat abgetastet werden. 

20 Je nach Art der Sicherheitsabf rage in Schritt 33 kann die 
Eingabe einer Benutzerkennung im vorhergehenden Schritt 31 
verzichtbar sein. Beispielsweise kann durch eine automatisch 
durchgeftihrt biometrische Messung eine vollstandige und si- 
chere Identif ikation ohne Zutun des Nutzers in Schritt 31 
durchgeftihrt werden. Die Verwendung eines ausreichend siche- 
' ren Schllissels kann gleichzeitig zur Erkennung des Benutzers 

und zur Verif izierung, also als eigentliche Sicherheitsabf ra- 
ge, ausreichend sein. Dies erleichtert insbesondere haufige 
Benutzerwechsel am System, weil umstandliche Tastatureingaben 

30 entf alien konnen. 



In Schritt 35 wird der zuvor erkannte Anwender durch ein auf 
Ebene des Betriebs-Systems arbeitendes Programm als Nutzer- 
Objekt identif iziert . Das System greift dazu auf einen Daten- 
35 bestand zu, der eine Erkennung von Anwendern anhand der in 
der Sicherheitsabf rage ermittelten Daten ermdglicht. Dieser 
Datenbestand kann sowohl innerhalb des Systems gespeichert 
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als auch iiber entfernt zugreifbare Daten, z,B, Uber das In- 
ternet, zugreifbar sein. Es konnen auch lokale und nicht- 
lokale Daten parallel verwendet werden. 

5 Im nachsten Schritt 37 wird f estgestellt, welcher Nutzer- 

Gruppe das zuvor identif izierte Nutzer-Objekt angehort. Dazu 
wird auf Daten zugegriffen, die ebenfalls lokal oder nicht- 
lokal gespeichert sein konnen. Die Datenbestande zur Identi- 
fizierung von Nutzer-Obj ekten und zu deren Zuordnung zu Nut- 
10 zer-Gruppen konnen sowohl im selben als auch in getrennten 
Datenspeichern abgelegt sein. 




In Schritt 39 wird uberprtift, ob die Nutzer-Gruppe des aktu- 



ell am System anzumeldenden Nut zer-Ob j ekts derjenigen des zu- 
15 vor angemeldeten Nutzer-Obj ekts entspricht, oder ob das Nut- 
zer-Objekt einer anderen Nutzer-Gruppe angehort. Stimmen die 
aktuell anzumeldende und die zuvor angemeldete Nutzer-Gruppe 
liberein, startet das System in Schritt 4 9 das vom Anwender 
gewlinschte Anwendungsprogramm. Andernfalls wird ein Neustart 
20 des Systems erf orderlich, da der Wechsel der Nutzer-Gruppe 
mit einem Wechsel des Authentif izierungs-Levels verbunden 
ist, der nur durch Anderungen auf Ebene des Betriebs-Systems 
realisiert wird kann. 

jjp5 Zu diesem Zweck wird in Schritt 41 die gegenwartige Konfigu- 
ration laufender Anwendungsprogramme zwischengespeichert und 
in Schritt 43 werden die Anwendungsprogramme beendet. In 
Schritt 45 wird der gegenwartige Status des Betriebs-Systems 
zwischengespeichert und in Schritt 47 das Betriebs-System be- 

30 endet und neu gestartet. 

Durch die zwischengespeicherten Daten hinsichtlich des Status 
des Betriebs-Systems und der Konf iguration der Anwendungen 
kann nach dem Neustart des Betriebs-Systems die vorherige Ar- 
35 beitsplatz-Konf iguration wiederhergestellt werden. Dabei kann 
der zuvor zur Anmeldung identif izierte Anwender automatisch 
am Betriebs-System angemeldet und der zugehorige Authentifi- 
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zierungs-Level eingestellt werden. Es kann aber auch eine er- 
neute Anmeldung des Anwenders in Schritt 31 verlangt werden. 
Dazu muss die Sicherheitsabf rage in Schritt 33, die Identifi- 
zierung als Nutzer-Objekt in Schritt 35 und die Zuordnung zu 
5 einer Nutzer-Gruppe in Schritt 37 wiederholt werden. Nach er- 
folgreicher Authentif izierung wird in Schritt 49 die vorheri- 
ge Konf iguration der Anwendungsprogramme oder eine gewtinschte 
Anwendung gestartet. 

10 In Schritt 51 stellt das Anwendungsprogramm fest, ob das ak- 
tuell angemeldete Nutzer-Objekt mit dem neu anzumeldenden u- 
bereinstimmt , oder ob ein Wechsel erfolgt ist. Falls ein 
Wechsel erfolgt ist, wird in Schritt 53 auf Ebene des Anwen- 
dungsprogramms das nun giiltige Nutzer-Objekt neu eingetragen 

15 und kann nun zu Dokumentationszwecken jederzeit abgerufen 

werden, ansonsten bleibt das vorherige Nutzer-Objekt aktiv. 

In Schritt 55 erfolgt die Dokumentation der Daten-Zugrif f e 
des Anwenders auf die vertraulichen Daten. Dabei wird doku- 
20 mentiert, welcher Anwender mittels welchen Anwendungspro- 

gramms wann auf welche Daten zugreift. Auiierdem wird die Art 
des Datenzugrif f s dokumentiert, d.h. es wird f estgehalten, ob 
eine Bearbeitung oder lediglich eine Betrachtung der Daten 
erfolgt ist. 

Anhand des Flussdiagramms in Figur 2 wird deutlich, dass die 
Erfindung den Wechsel von Anwendern am System vereinfacht. In 
herkommlichen Systemen miissen die Schritte 41 bis 49 zum Neu- 
start von Betriebs-Systemen und Anwendungsprogrammen bei je- 

30 dem Nut zer-Wechsel abgearbeitet werden, wobei insbesondere 
der Schritt 47, in dem das Betriebs-System neu gestartet 
wird, besonders zeitauf wendig ist. Die Erfindung dagegen er- 
moglicht es, auf diese Schritte immer dann zu verzichten, 
wenn festgestellt wird, dass der Authentif izierungs-Level 

35 bzw. das Authentif izierungs-Nutzer-Ob j ekt des neu anzumelden- 
den Anwenders mit demjenigen des aktuell angemeldeten Anwen- 
ders ubereinstimmen. Immer dann wird auf den Neustart des Be- 
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triebs-Systems verzichtet und hochstens ein Neustart des An- 
wendungsprogramms zum Wechsel des Do kumentat ions-Nut zer- 
Objekts durchgefuhrt . 

5 In aller Regel wird jedoch ein Neustart des Anwendungspro- 
gramms zum Wechsel des Dokumentations-Nutzer-Obj ekts ver- 
zichtbar sein. Stattdessen wird lediglich innerhalb der An- 
wendung das neue Nutz-Objekt verzeichnet. 

10 Figur 3 verdeutlicht die Trennung zwischen Betriebs-System- 
und Anwendungs-Ebene, die sich die Erfindung zunutze itiacht . 
Das Betriebs-System 71 befindet sich in Figur 3 auf der Ebene 
^ oberhalb der gestrichelten Linie, die von der Ebene der An- 
wendungsprogramme 73 unterhalb der gestrichelten Linie ge- 

15 trennt ist. 



Das Betriebs-System 71 ist fiir die Konf igurierung der Hard- 
ware der Datenverarbeitungseinrichtung zustandig und fiir die 
Identif izierung und Authentif izierung eines System-Nutzers . 
20 Dazu weist das Betriebs-System eine Authentif izierungs- 

Instanz 75 auf, die entweder Teil des Betriebs-Systems ist 
Oder auf Ebene des Betriebs-Systems arbeitet, um je nach Nut- 
zer-Objekt einen anderen Authentif izierungs-Level vorgeben zu 
konnen. Die zu einem Authentif izierungs-Level gehorige Hard- 
;^''5 ware-Konf iguration und der jeweilige Umfang an Zugrif f srech- 
' ten sind dabei in Nutzer-Gruppen 77 definiert. Jede Nutzer- 

Gruppe 77 definiert einen eigenen Authorisierungs-Level und 
eine eigene Hardware-Konf iguration . Ein Wechsel des Authenti- 
f izierungs-Nutzer-Obj ekts und damit der Nutzer-Gruppe 77 fin- 
30 det auf Ebene des Betriebs-Systems 71 statt. 

Auf der Ebene der Anwendungsprogramme 73 erfolgen die ent- 
sprechend dem vergebenen Authentif izierungs-Level erlaubten 
Datenzugrif f e und werden durch die Dokumentations-Instanz 79 
35 dokumentiert . Die Dokumentations-Instanz 79 zeichnet auf, 

welcher Anwender wann auf welche Daten auf welche Art zuge- 
griffen hat. Es werden sowohl Datenzugrif fe zur Veranderung 
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der Daten als auch solche zur bloBen Betrachtung der Daten 
dokumentiert . Die Umf anglichkeit der Dokuitientation entspricht 
mindestens den herrschenden, fur die Daten vorgegeben gesetz- 
lichen Vorgaben. Die Dokvimentations-Instanz 79 benotigt zur 
5 Aufzeichnung des Anwenders, der auf Daten zugreift, Informa- 
tionen zu dessen Identif ikation . Diese Inf ormationen sind 
durch das jeweils angemeldete Dokumentations-Nutzer-Objekt 81 
gegeben, dessen Kennung als Urheber jedes Datenzugrif f s ge- 
speichert wird* 

10 

Die Nutzer-Obj ekte 81 sind jeweils Teil einer Nutzer-Gruppe 
,^ r 77, Ein Wechsel des Nut zer-Obj ekts 81 muss nicht mit einem 
Wechsel des Authentif izierungs-Levels einhergehen, d.h. er 
kann ohne Wechsel der Nutzer-Gruppe 77 und allein auf Ebene 

15 des Anwendungsprogramitis 73 vollzogen werden. Um dies zu ver- 
deutlichen, sind in Figur 3 jeweils mehrere Nutzer-Obj ekte 81 
innerhalb einer Nutzer-Gruppe 77 auf Ebene des Anwendungs- 
Programms dargestellt. Es ist aus der Darstellung ersicht- 
lich, dass nur ein Wechsel zu einem Nutzer-Obj ekt 81 in einer 

20 anderen Nutzer-Gruppe 77 auch deren Wechsel und damit eine 
Anderung auf Ebene des Betriebs-Systems erforderlich macht. 
Nur in solchen Fallen wird ein Neustart des Betriebs-Systems 
71 erforderlich, der dann mit einem Wechsel des Authentifi- 
zierungs-Levels einhergehen kann, was zur Erteilung eines ge- 
^^'5 anderten Umfangs an Zugrif f srechten durch die Authentif izie- 
* rungs-Instanz 75 an das Anwendungsprogramm 73 f iihrt . 

Der Umfang der Daten-Zugrif f s-Rechte wird damit durch die Be- 
triebs-System-Ebene vorgegeben, wahrend die Dokumentation von 
30 Datenzugrif fen ausschlieBlich auf Anwendungsprogramm-Ebene 
erf olgt . 
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Patentanspruche 

1. Elektronische Datenverarbeitungseinrichtung (1) zum Verar- 
beiten elektronischer Daten durch wechselnde Nutzer, auf der 

5 ein Betriebs-System zur Konf iguration der Datenverarbeitungs- 
einrichtung und ein Anwendungs-Programm zur Bearbeitung der 
Daten lauft, mit einem Daten-Speicher (3) zur Speicherung der 
Daten, mit einem Dokximentations-Speicher (5) zur Speicherung 
von Dokumentations-Daten zur Dokumentation eines Zugriffs auf 

10 die Daten, mit einem Nutzer-Objekt-Speicher (7) zur Speiche- 
rung von Nutzer-Obj ekten zur Authentif izierung und Dokumenta- 
^ tion eines Zugriffs auf die Daten, 

dadurch gekennzeichnet, dass durch den 
Nutzer-Obj ekt-Speicher (7) Do kumentat ions -Nutzer-Obj ekte (81) 

15 speicherbar sind, die auf Ebene des Anwendungs-Programms (73) 
zur Dokumentation eines Zugriffs auf die Daten im Dokumenta- 
tions-Speicher (5) speicherbar sind, und ein Authentif izie- 
rungs-Nutzer-Objekt (77), dem auf Ebene des Betriebs-Systems 
(71) ein Recht z\xm Zugriff auf die Daten zuordenbar ist, und 

20 dem mehrere Dokumentations-Nutzer-Objekte (81) zuordenbar 
sind, die dadurch fur dieses Recht authentif iziert sind. 

2. Elektronische Datenverarbeitungseinrichtung (1) nach An- 
spruch 1 

dadurch gekennzeichnet, dass ein Nutzer 
' vor einem Zugriff auf die Daten durch eine Sicherheitsabf rage 

identif iziert werden muss, und dass einem Nutzer in Abhangig- 
keit vom Ergebnis der Sicherheitsabf rage ein Dokumentations- 
Nutzer-Objekt (81) und ein Authentif izierungs-Nutzer-Obj ekt 
30 (77) zuordenbar ist. 

3. Elektronische Datenverarbeitungseinrichtung (1) nach An- 
spruch 2 

dadurch gekennzeichnet, dass zur Si- 
35 cherheitsabf rage ein Mittel (13) zur Abfrage biometrischer 

Daten und/oder ein Mittel (15) zur Abfrage eines mechanischen 
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und/oder elektronischen SchlUssels oder ein Mittel (17) zur 
Abfrage einer Chip-Karte vorgesehen ist. 

4. Elektronische Datenverarbeitungseinrichtung (1) nach einem 
5 der vorhergehenden Ansprtiche 

dadurch gekennzeichnet/ dass der Nut- 
zer-Objekt-Speicher (7) uber eine zur Fernubertragung von Da- 
ten geeignete Verbindung mit der Datenverarbeitungseinrich- 
tung (1) verbunden ist. 

10 

5. Verfahren zum Verarbeiten elektronischer Daten durch einen 
Nutzer mittels einer elektronischen Datenverarbeitungsein- 
richtung (1), auf der ein Betriebs-System (71) zur Konfigura- 
tion der Datenverarbeitungseinrichtung (1) und ein Anwen- 

15 dungs-Programm (73) zur Bearbeitung der Daten lauft, 

dadurch gekennzeichnet, dass in einem 
ersten Schritt (35) ein Nutzer als Dokumentations-Nutzer- 
Objekt (81) identif iziert wird, dass in einem zweiten Schritt 
(37) der Nutzer als Authentif izierungs-Nutzer-Objekt (77) i- 
20 dentif iziert wird, dass in einem dritten Schritt (47) dem Au- 
thentif izierungs-Nutzer-Objekt (77) ein Recht zum Zugriff auf 
Daten auf Ebene des Betriebs-Systems (71) zugeordnet wird, 
dass in einem vierten Schritt (55) auf Ebene des Anwendungs- 
Programms (73) Zugriff e auf Daten zu Dokiimentations-Zwecken 
" 5 in Verbindung mit einem Dokumentations-Nutzer-Objekt (81) ge- 
speichert werden, und dass mehrere Nutzer durch dasselbe Au- 
thentif izierungs-Nutzer-Objekt (77) identif izierbar sind und 
dadurch fur dasselbe Recht zum Zugriff auf Daten authentifi- 
zierbar sind. 

30 

6. Speichermedium, auf dem Information gespeichert ist, und 
das in Wechselwirkung mit einer elektronischen Datenverarbei- 
tungseinrichtung (1) treten kann, um das Verfahren gemali An- 
spruch 5 auszufuhren. 
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Zus ammen f a s sung 



Nutzer-Objekte zur Authentif izierung der Nutzung medizini- 
scher Daten 

5 

Die Erfindung betrifft eine elektronische Datenverarbeitungs- 
einrichtung (1) zum Verarbeiten elektronischer Daten durch 
wechselnde Nutzer, Sie betrifft weiter ein entsprechendes 
Verfahren und ein Speichermedium mit Inf ormationen zur Aus- 
10 ftihrung dieses Verfahrens auf einer Datenverarbeitungsein- 

richtung. Auf der Datenverarbeitungseinrichtung (1) laut ein 
-V Betriebs-System (71) zur Konf iguration der Datenverarbei- 
'^1^^ tungseinrichtung und ein Anwendungs-Programm (73) zur Bear- 
beitung der Daten. Sie weist einen Daten-Speicher (3) zur 
15 Speicherung der Daten und einen Dokumentations-Speicher (5) 
zur Speicherung von Dokumentations-Daten zur Dokumentation 
eines Zugriffs auf die Daten auf. Sie weist weiter einen Nut- 
zer-Objekt-Speicher (7) zur Speicherung von Nutzer-Objekten 
zur Authentif izierung und Dokumentation auf. GemalJ der Erf in- 
20 dung beinhaltet der Nutzer-Objekt-Speicher (7) Dokumentati- 
ons-Nutzer-Objekte (81), die auf Ebene des Anwendungs- 
Programms (73) zur Dokumentation eines Zugriffs auf die Daten 
im Dokumentations-Speicher (5) speicherbar sind, und ein Au- 
thentif izierungs-Nutzer-Objekt (77), dem auf Ebene des Be- 
/^^5 triebs-Systems (71) ein Recht zum Zugriff auf die Daten zuor- 
^ denbar ist, und dem mehrere Dokiomentations-Nutzer-Objekte 

(81) zuordenbar sind, die dadurch fiir dieses Recht authenti- 
fiziert sind. 

30 FIG 2 
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